Utilizzo di AWS per Criminal Justice Information Solutions

La CJIS Security Policy definisce i "controlli adeguati per proteggere l'intero ciclo di vita dei dati CJI (Criminal Justice Information), sia a riposo che in transito", indipendentemente dal modello di tecnologia informatica sottostante. L'utilizzo delle soluzioni sviluppate su AWS consente alle agenzie di gestire e mettere in sicurezza le applicazioni e i dati sul cloud di AWS.

AWS fornisce gli elementi fondamentali utilizzabili dalle agenzie di pubblica sicurezza e dai loro partner delle applicazioni per creare applicazioni altamente disponibili, resilienti e sicure in linea con la CJIS Security Policy. I clienti di AWS mantengono la proprietà e il controllo completi dei dati, abilitati tramite l'accesso a strumenti nativi del cloud semplici e potenti che consentono loro di gestire l'intero ciclo di vita dei dati sensibili dei clienti. I clienti esercitano un controllo esclusivo sullo storage dei dati e sui metodi utilizzati per mettere in sicurezza i dati in transito e a riposo e gestiscono l'accesso ai propri sistemi informatici creati su AWS.

La corretta messa in sicurezza delle Criminal Justice Information (CJI) e il rispetto della conformità con la CJIS Security Policy richiede un certo numero di controlli di sicurezza volti a garantire che solo gli individui autorizzati abbiano accesso alle CJI. Il principio del privilegio minimo è uno dei più importanti fondamenti della CJIS Security Policy sulla base di uno standard “need-to-know, right-to-know”. I clienti di AWS possono applicare il privilegio minimo crittografando in modo sicuro le loro CJI e limitando l’accesso alle CJI alle sole persone in possesso delle chiavi di crittografia. I clienti usufruiscono dei servizi e degli strumenti AWS quali AWS Key Management Service (KMS) e il sistema AWS Nitro che permettono alle loro agenzie e partner di fiducia di mantenere il controllo e la proprietà completi dei loro dati relativi alla giustizia penale.

AWS KMS utilizza moduli di sicurezza hardware (Hardware Security Modules, HSM) con convalida FIPS 140-2 e consente ai propri clienti di creare, possedere e gestire le chiavi master dei propri clienti per tutta la crittografia. Tali chiavi master del cliente non lasciano mai i moduli di sicurezza hardware con convalida FIPS di AWS KMS senza crittografia e non vengono mai rese note al personale di AWS.

Il sistema AWS Nitro utilizza server e hardware creati appositamente progettati specificamente per l'esecuzione di un hypervisor virtuale di calcolo, il che rimuove tutte le porte, i componenti e le funzionalità aggiuntivi non necessari che si trovano sui server tradizionali. Il modello di sicurezza del sistema AWS Nitro è bloccato e vieta l'accesso amministrativo, eliminando la possibilità di errori umani e manomissioni. I clienti possono anche scegliere le Enclave di AWS Nitro che non hanno storage persistente, accesso interattivo e reti esterne, in modo da creare ambienti di elaborazione isolati per proteggere ulteriormente ed elaborare in sicurezza dati altamente sensibili.

I progressi tecnologici del sistema AWS Nitro e di AWS Key Management Service con modelli di sicurezza hardware con convalida FIPS 140-2 per le chiavi di crittografia simmetrica hanno eliminato la necessità di utilizzare il metodo tradizionale fondato sulla sicurezza fisica e gli accertamenti sui precedenti penali per concedere l'accesso di un individuo alle CJI non crittografate. Sebbene l’approccio tradizionale possa aiutare a raggiungere la conformità minima ai sensi della CJIS Security Policy, esso non si può paragonare alla sicurezza che si riesce a raggiungere sfruttando pratiche di crittografia forte e la distribuzione dei principi di “privilegio minimo” per limitare l’accesso alle CJI a coloro in possesso di “need-to-know”, “right-to-know” e di autorizzazione esplicita. Ciò consente a clienti e provider di applicazioni di creare soluzioni che rimuovono l'accesso fisico e logico dei dipendenti AWS alle CJI e ai dispositivi che archiviano, elaborano e trasmettono le CJI.